s0283-jrat - RunkIntel

# jRAT / Adwind > [!danger] Resumo > RAT multiplataforma baseado em Java disponibilizado como Malware-as-a-Service (MaaS) desde 2012, com mais de 443.000 vitimas documentadas entre 2013 e 2016. Passa por múltiplas rebrands (Frutas, AlienSpy, Unrecom, JSocket, Adwind) e e comercializado via modelo de assinatura mensal (~$30/mes). Corre em Windows, macOS, Linux e Android - qualquer maquina com Java instalado. Amplamente usado pelo [[g1018-ta2541|TA2541]] em campanhas contra o setor de aviacao. ## Visão Geral O [[s0283-jrat|jRAT]] e uma RAT multiplataforma baseada em Java, inicialmente disponibilizada como "Frutas RAT" em janeiro de 2013 e rapidamente renomeada varias vezes para escapar de detecção após exposicoes públicas: Adwind RAT (2013), Unrecom RAT (fevereiro 2014), AlienSpy (outubro 2014), JSocket (junho 2015), e finalmente renominado como jBiFrost em ciclos mais recentes. O modelo de distribuição como Malware-as-a-Service (MaaS) via assinatura online tornou o [[s0283-jrat|jRAT]] acessivel a milhares de criminosos sem conhecimento tecnico avancado. Em 2015, a Kaspersky estimou aproximadamente 1.800 usuarios ativos na plataforma - majoritariamente da Nigeria, EUA, Canada, Russia e Turquia. Entre 2013 e 2016, 443.000 vitimas foram documentadas em mais de 60 industrias. O [[g1018-ta2541|TA2541]] e o principal usuario documentado em períodos recentes, usando o [[s0283-jrat|jRAT]] em campanhas de spearphishing altamente focadas no setor de aviacao global - companhias aereas, aeroportos, contratantes de defesa aeroespacial. Campanhas de 2017 visaram específicamente empresas aeroespaciais na Suica, Austria, Ucrania e EUA. Variantes distribuidas como JAR archives com ofuscação multicamada foram documentadas em 2019 visando a industria petrolifera dos EUA. O [[s0283-jrat|jRAT]] utiliza o WMI para detectar produtos antivirus e firewalls instalados - uma caracteristica de anti-análise que demonstra sofisticacao acima da media para uma plataforma MaaS. Ofuscação via ferramenta comercial Allatori e presente em variantes mais recentes. **Plataformas:** Linux, Windows, macOS, Android ## Como Funciona 1. **Entrega**: E-mail de spearphishing com arquivo JAR malicioso ou documento com link para download de JAR 2. **Execução**: JAR executado com Java instalado; wrapper jRAT instala componentes e conecta ao C2 3. **Persistência**: Copia em diretorio de usuario + chave de registro autorun ou Startup Items 4. **Reconhecimento**: Coleta de fingerprint do sistema, AV instalado, firewalls ativos via WMI 5. **Controle remoto**: Desktop remoto, keylogging, captura de webcam/microfone, shell de comandos 6. **Exfiltração**: Transferencia de arquivos, capturas de tela, credenciais; trafego via proxy SOCKS configuravel ## Attack Flow - jRAT ```mermaid graph TB A["Spearphishing E-mail com JAR anexado ou link para download"] --> B["Execução Java Wrapper JAR instala componentes em UserTemp"] B --> C["Persistência Autorun registry key ou Startup Items macOS/Linux"] C --> D["Reconhecimento WMI para detectar AV e firewalls instalados"] D --> E["Controle Remoto Desktop RDP, keylogger webcam e microfone"] E --> F["Coleta de Credenciais Browsers, chats, carteiras VPN e crypto"] F --> G["Exfiltração Agendada Transferencia programada de arquivos coletados"] ``` ## Timeline de Atividade ```mermaid timeline title jRAT - Historico de Rebrands e Campanhas 2012-01 : Criação do Frutas RAT - primeira versao 2013 : Adwind RAT - primeiro rebrand 2014-02 : Unrecom RAT - segundo rebrand 2014-10 : AlienSpy - terceiro rebrand (takedown pela Fidelis) 2015-06 : JSocket/jRAT - quarto rebrand como servico MaaS 2016 : Kaspersky publica relatorio - 443.000 vitimas documentadas 2017 : TA2541 usa contra empresas aeroespaciais EUA/Europa 2019 : Variante com ofuscação multicamada JAR contra industria petrolifera EUA 2021 : jBiFrost em uso continuo por TA2541 ``` ## TTPs - jRAT | Tática | Técnica | Descrição | |--------|---------|-----------| | Execução | [[t1047-windows-management-instrumentation\|T1047]] | WMI para identificar AV e firewalls | | Execução | [[t1059-005-visual-basic\|T1059.005]] | HTA com VBScript como vetor de entrega | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger online e offline | | Coleta | [[t1125-video-capture\|T1125]] | Captura de video via webcam | | Coleta | [[t1120-peripheral-device-discovery\|T1120]] | Descoberta de dispositivos perifericos | | Persistência | [[t1037-005-startup-items\|T1037.005]] | Startup Items em macOS | | Transferencia | [[t1029-scheduled-transfer\|T1029]] | Exfiltração em horarios agendados | | Movimentação | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Controle de desktop remoto | ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil > O **jRAT/Adwind** é uma ameaça direta ao Brasil e LATAM pelo seu modelo MaaS de baixo custo (~US$30-200/mês), tornando-o acessível para grupos de crime cibernético regionais. O setor de **aviação civil brasileira** (GOL, LATAM, Azul, Embraer) é alvo documentado do **TA2541**, principal usuário do jRAT. A capacidade de execução em **Android** amplia o alcance dado o alto uso de dispositivos Android no Brasil; e a **Argentina** foi alvo confirmado em campanha de espionagem contra um promotor argentino em 2015. O [[s0283-jrat|jRAT]] e relevante para o Brasil como ferramenta de espionagem corporativa e industrial disponível a baixo custo. O modelo MaaS com assinatura mensal (~$30-200 USD) torna-o acessivel para grupos de crime cibernetico e espionagem industrial com orcamentos limitados. O setor de aviacao civil brasileiro (GOL, LATAM, Azul, Embraer) e alvo documentado do [[g1018-ta2541|TA2541]], usuario principal do jRAT. A Kaspersky identificou a Argentina como alvo notavel em 2015, quando o Adwind foi usado em espionagem contra um promotor argentino. O perfil de vitimas incluiu 60 empresas de setores como energia, finanças, governo e telecomúnicacoes - todos setores criticos no Brasil. A capacidade de execução em Android e relevante dado o alto uso de dispositivos Android no Brasil. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar execução de arquivos `.jar` fora de diretorios de instalacao de software legitimo > - Alertar sobre processos Java (`java.exe`, `javaw.exe`) fazendo conexoes de rede de saida inesperadas > - Detectar modificacoes em registros de autorun por processos Java > - Monitorar uso de WMI (wmic.exe) por processos Java para consultar produtos de segurança instalados > - Verificar ofuscação Allatori em JARs suspeitos - caracteristica de variantes recentes ## Referências - [1](https://attack.mitre.org/software/S0283/) MITRE ATT&CK - jRAT S0283 (2024) - [2](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07195002/KL_AdwindPublicReport_2016.pdf) Kaspersky Lab - Adwind: A Cross-Platform RAT (2016) - [3](https://www.kaspersky.com/about/press-releases/adwind-malware-as-a-service-platform-that-hit-more-than-400000-users-and-organizations-globally) Kaspersky - Adwind MaaS Platform: 443.000 Vitimas (2016) - [4](https://www.trendmicro.com/en_us/research/17/g/spam-remote-access-trojan-adwind-jrat.html) Trend Micro - Spam Campaign Delivers Cross-Platform RAT Adwind (2017) - [5](https://securityaffairs.com/91973/malware/adwind-jar-archives.html) Security Affairs - Adwind RAT targets US Petroleum Industry (2019) - [6](https://malpedia.caad.fkie.fraunhofer.de/details/jar.adwind) Malpedia - AdWind Family (2021)